ハイブリッドクラウドを安全にする方法: IT プロフェッショナルが知っておくべきこと

ハイブリッドクラウドを安全にする方法: IT プロフェッショナルが知っておくべきこと

企業のハイブリッド クラウド環境を保護するのは簡単ではありません。 SANS アナリストが、パブリック クラウドとプライベート クラウド間のインターフェイスでセキュリティを向上させる理由と方法について説明します。

企業にとって、データとソフトウェア プラットフォームをクラウドに移行することは、どちらか一方を選択するということではありません。一部の企業の IT 部門では、社内のプライベート クラウドとサードパーティのパブリック クラウド サービスを組み合わせて実行する方法を検討し、学習しています。企業のコンピューティングのニーズとコストが変化すると、ハイブリッド クラウド プラットフォームを作成することで、ワークロードをプライベート クラウドとパブリック クラウド間で移動できるようになり、企業の柔軟性が向上し、データ展開のオプションが増えます。

[[227410]]

ハイブリッド クラウドには独自の利点と欠点があります。ハイブリッド クラウドは技術者に利便性と適応性を提供しますが、それには一定のコストが伴います。セキュリティ チームは、企業データと、多くの場合、複数の環境にまたがる独自のプロセスを保護する必要があります。

Voodoo Security の主席コンサルタントであり SANS のアナリストでもある Dave Shackleford 氏は、SANS のホワイト ペーパー「ハイブリッド クラウドのセキュリティ保護: 従来のツールと新しいツールおよび戦略」でこれらの問題に対処することにしました。

「ハイブリッドクラウドモデルを採用する組織が増えるにつれ、社内のセキュリティ管理とプロセスをパブリッククラウドサービスプロバイダーの環境に適応させる必要が出てくるだろう」とシャックルフォード氏は書いている。 「まず、企業はリスク評価と分析の実践を更新し、リストされた項目を継続的に見直す必要があります。」

これらのプロジェクトは以下のとおりです。

• クラウドプロバイダーのセキュリティ管理、機能、コンプライアンス状況

• 社内開発およびオーケストレーションツールとプラットフォーム

• 運用管理および監視ツール

• オンプレミスとクラウドのセキュリティツールとコントロール

両社は、ホワイトペーパーの中で、クラウドのセキュリティに対する最終的な責任が企業かクラウド コンピューティング プロバイダーのどちらにあるかはまだ決めていない。

Shackleford は、クラウド コンピューティング サービス プロバイダーとその顧客間の責任共有をサポートしています。 Shackleford 氏は、クライアントに対してセキュリティ チームが以下のことを行う必要があると述べています。

• 現在使用されているセキュリティ制御を完全に理解する。

• ハイブリッド クラウド環境で正常に運用するために、どのセキュリティ制御を変更する必要があるかをより深く理解します。

その理由について、シャックルフォード氏は次のように説明した。「一部のセキュリティ制御はオンプレミスと同じようには機能しないか、クラウド サービス プロバイダー環境では機能しないことがほぼ確実です。」

ITチームが確認すべき内部プロセス

Shackleford は、次の内部プロセスを調べることを推奨しています。

構成の評価: Shackleford 氏は、セキュリティに関しては次の構成が特に重要であると述べています。

• オペレーティングシステムのバージョンとパッチレベル

• ローカルユーザーとグループ

•キーファイルの権限

•強化されたネットワークサービスの実行

脆弱性スキャン: Shackleford は、システムを継続的にスキャンし、インスタンスのライフサイクル中に見つかった脆弱性を報告することを推奨しています。スキャンと結果の評価に関しては、ハイブリッド クラウド環境では通常、次のいずれかのアプローチが使用されると Shackleford 氏は指摘しました。

• 従来の脆弱性スキャナーのベンダーの中には、クラウド プロバイダー環境で動作するように自社製品を適応させ、スケジュールまたはアドホック ベースでより侵入的なスキャンを実行するための手動リクエストを回避するために API に依存することが多いものもあります。

• 個々の仮想マシンを継続的にスキャンするホストベースのエージェントに依存します。

セキュリティ監視: ハイブリッド クラウド環境は、ほとんどの場合、仮想化されたマルチテナント サーバー上に存在するため、ユーザーごとに攻撃を監視することが困難になります。 「仮想インフラストラクチャの監視は、VM/コンテナ、仮想スイッチ、ハイパーバイザー、物理ネットワークなど、いくつかの場所のいずれかで行われます」とShackleford氏は書いている。 「ほぼすべてのクラウド環境で、実際にアクセスできるのは、クラウド プロバイダーが提供する VM/コンテナまたはソフトウェア定義ネットワークだけです。」

「監視ツールを構築する際の考慮事項には、ネットワーク帯域幅、専用接続、データの集約/分析方法が含まれます」とシャックルフォード氏は続けた。 「クラウド インスタンス内のサービス、アプリケーション、オペレーティング システムによって生成されたログとイベントは、自動的に収集され、中央の収集プラットフォームに送信される必要があります。」

Shackleford 氏は、自動リモート ロギングに関しては、ほとんどのセキュリティ チームが適切なログを収集し、それを安全な中央ロギング サービスまたはクラウドベースのイベント管理プラットフォームに送信し、SIEM や分析ツールを使用して綿密に監視することをすでに理解していると考えています。

シャックルフォード氏によると、監視には何らかの制限が必要だという。彼は以下のことが優先されるべきだと考えています。

• 異常なユーザーログインまたはログイン失敗

• クラウド環境への大量のデータのインポートとエクスポート

• 特権ユーザーのアクティビティ

• 承認されたシステムイメージの変更

• 暗号化キーへのアクセスと変更

• 権限とID構成の変更

• ログと監視の構成を変更する

• クラウドプロバイダーとサードパーティの脅威インテリジェンス

サイロとポイントソリューションは問題である

人々はサービスや製品を採用するのが大好きです。同じ理由で、Shackleford 氏は、さまざまなベンダーや環境にわたって柔軟性を提供する単一ベンダーまたはクラウド ネイティブのオプションを避けることを強く推奨しています。

「一部のベンダーの製品は特定の環境でしか動作せず、ほとんどのクラウドベンダーの組み込みサービスは自社のプラットフォームでしか動作しません」と彼は説明した。 「このサイロ現象は、ビジネスニーズによって組織がマルチクラウド戦略を実装する必要があり、準拠したセキュリティ制御の再導入が必要になる場合に深刻な問題を引き起こす可能性があります。」

シフトレフトセキュリティ

Shackleford 氏は、シフトレフト セキュリティの強力な支持者です。これは、実現が難しい単純な概念ですが、セキュリティの考慮事項を製品開発段階に移すという考え方です。 「言い換えれば、セキュリティは開発と運用の実践およびインフラストラクチャ(SecDevOps または DevSecOps と呼ばれることもある)と真に統合されている」と Shackleford 氏は書いている。 「セキュリティおよび DevOps チームは、承認されたアプリケーションやオペレーティング システム構成のライブラリなど、多くの領域について IT 組織標準を定義し、公開する必要があります。」

最終警告

Shackleford 氏は、通常のデューデリジェンスに加えて、データやプロセスをパブリック クラウドに移行する前に、既存のすべての制御とプロセスの包括的なレビューを完了してベースラインを形成することを企業に推奨しています。 「これにより、企業は関連するデータを適切に保護し、パブリッククラウド環境で同等のセキュリティ機能を探す機会が得られます」とシャックルフォード氏はアドバイスする。 「セキュリティ チームと運用チームは断片化していることが多く、1 つ以上のクラウド プロバイダー環境にわたって複数の管理および監視ツールを管理することはできないため、オンプレミスとクラウドの両方の資産を 1 か所で管理できるツールを探してください。」

【編集者のおすすめ】

  1. 23 の基本的な IoT 標準、プロトコル、技術用語のクイック ガイドです。
  2. ITチームが顧客を第一に考えるべき理由
  3. データセンターネットワーク技術が直面する3つの大きな課題
  4. McKinsey AI アプリケーション レポート: ディープラーニングはブルー オーシャンか、それとも深い穴か?
  5. 人工知能、モノのインターネット、ブロックチェーンが金融業界を変革する

<<:  クラウドデータ移行では、これら6つの隠れたボトルネックを回避する必要があります

>>:  テンセントクラウドオーディオとビデオ技術開発サロン:実践的な知識と多くの利益が満載

推薦する

henghost: 大晦日のお祝い、86% 割引、香港\日本\米国のデータセンター、CN2 ネットワーク、クラウド サーバー、クラスター サーバー

香港恒創科技は現在、大晦日祝賀イベントを開催しています。香港、日本、米国のデータセンターはすべてCN...

Geek Host - 元旦20%オフ/51元/Windows/1Gメモリ/20Gハードドライブ/300Gトラフィック/香港/ロサンゼルス

中国のホスティングブランドであるGeek Hostは、2010年にWordPressブログ向けの仮想...

キーワードの競争度を判断する6つのポイント

ショートビデオ、セルフメディア、インフルエンサーのためのワンストップサービスキーワード選択における最...

あらゆるシナリオでデジタルインテリジェンスを活用することで、U9cloudは従来のERPアップグレードの「ハーベスター」となりました。

現在、中国は「製造大国」から「スマート製造大国」へと移行しつつあります。伝統産業のアップグレードと主...

所有ネットワーク - $15/年/512MB RAM/100GB HDD/500GB トラフィック/G ポート/6 コンピュータ ルーム

OwnedNetworks の所有者はパナマ人です。ドメイン名は 2005 年に登録されました。ID...

ビットコインマイニング技術: 分散データストレージ、ピアツーピア伝送、コンセンサスメカニズム、暗号化アルゴリズム...

1. 説明ブロックチェーンは、オープンなデータ操作、改ざん不可能、追跡可能性、国境を越えた分散化など...

sharktech - 10Gbps 帯域幅サーバー、無制限のトラフィック + 新しいモバイル回線

Sharktechからの最新のメールには良いニュースがたくさんあります。[1] 10Gbpsの帯域幅...

ウェブサイトのタイトル、キーワード、説明の共通点と相違点を合理的に把握する方法

最近、多くの記事からウェブサイトのタイトル、キーワード、説明の設定方法を学んできましたが、同時に問題...

SEOの経験を振り返っての考察

誰もが悲しい旅をします。その道を歩んだ後は、自分が歩んできた一歩一歩を振り返る時です。過去を振り返る...

spinservers: 109 ドル、サンノゼ データ センター、10Gbps 帯域幅、2*e5-2650L v3/64g メモリ/1.6T SSD

spinservers (MET のブランド、1994~) は現在、サンノゼ データ センターの専用...

#大容量ハードドライブ VPS# budgetnode - 年間 24 ドルの支払い / KVM / 512 MB メモリ / 250 g ハードドライブ / 1 T トラフィック

budgetnode は、サイバーマンデーに関する非常に役立つ情報をお届けします。英国の高構成 KV...

hostodo: 年間 25 ドル、米国 VPS (データセンター 3 か所)、2G メモリ/2 コア/20GNVMe/5T トラフィック

Hostodo (~) は現在、ラスベガス、スポケーン、マイアミのデータセンターで、少なくとも 5T...

金融会社が直面するクラウドコンピューティングの課題

金融サービス業界におけるデジタル変革の止められないペースは、おそらく他のどの業界よりも大きな混乱を引...

ハーマン、自動車向けソリューションの提供にAmazon Web Servicesのサポートを発表

ハーマンは本日、アマゾン ウェブ サービス プラットフォームをベースとした自動車業界向けソリューショ...